RODO: zasady „Privacy by Design” oraz „Privacy by Default”

RODO obowiązuje od maja 2018 roku. Samo pojawienie się dyrektywy wywołało niemałe zamieszanie, tym bardziej że procent firm przetwarzających dane w sieci nieustannie rośnie. Uwzględnienie ochrony danych i prywatności użytkowników oraz sposób ich przetwarzania w każdym stadium tworzenia oraz funkcjonowania oprogramowania (technologii), zostaje wzmocniony przez większy nacisk na ochronę prywatności – „Privacy by Design” oraz „Privacy by Default”. W jaki sposób?


RODO – większa rola ochrony prywatności

RODO (Rozporządzenie o Ochronie Danych Osobowych) wprowadziło ze sobą dwie zasady –Privacy by Design” oraz Privacy by Default”. Na ich podstawie ochrona danych oraz prywatności ma zostać zapewniona na każdym etapie powstawania produktu cyfrowego. Każdy projekt, w którym będą przetwarzane dane osobowe, będzie musiał powstawać z uwzględnieniem ochrony prywatności jako integralnym elementem technologii / oprogramowania. Drugi element, to wymuszenie na twórcach aplikacji i systemów, które przetwarzają dane domyślne, stworzenie produktów w taki sposób, by w operacjach wykorzystywały jak najmniejszą ilość danych o użytkowniku. Na przetwarzanie większego zakresu informacji, zgodę może wyrazi jedynie użytkownik poprzez zmianę ustawień. 

 Znaczenie „Privacy by Design” oraz „Privacy by Default”

„Privacy by Design”, znana również jako zasada prywatności w fazie projektowania, wymusza na cyfrowych projektach ochronę prywatności od strony technologicznej już od samego początku. W RODO wyróżnia się 7 głównych zasad objętych przez „Privacy by Design”, które zostały ostatecznie potwierdzone, na mocy Rezolucji przyjętej przez 32. Międzynarodową Konferencję Rzeczników Ochrony Danych i Prywatności, w 2010 r. Do najistotniejszych zalicza się zasadę „Privacy by Default” – inaczej zasada prywatności w ustawieniach domyślnych. Oznacza, że dodatkowe informacje na swój temat użytkownik może udostępnić jedynie z własnej woli, zmieniając ustawienia aplikacji bądź systemu.  

RODO i „Privacy by Design”

Koncepcja „Privacy by Design” przeszła znaczną ewolucję w ciągu ostatnich lat. Początkowo zasada skupiała się “jedynie” na ochronie użytkowników systemów teleinformatycznych. Obecnie jest powszechna w krajach Unii Europejskiej oraz wykorzystywana przy tworzeniu nowych przepisów przez organy publiczne i wywiera wpływ na powstające technologie, już od etapu projektowania. Przepis wymusza na administratorze danych zapewnienie, że do projektu technologicznego wprowadzono niezbędne rozwiązania techniczne oraz proceduralne, dzięki którym ochrona danych użytkowników i ich przetwarzanie będzie odbywało się zgodnie z Rozporządzeniem. Systemy, programy i aplikacje w związku z tym powinny móc uwzględnić takie środki jak: 

  • transparentne formy przechowywania i przetwarzania danych, 
  • minimalizację do niezbędnej ilości przetwarzanych danych, 
  • umożliwienie doskonalenia i rozwijania nowych zabezpieczeń przez administratora. 

W Rozporządzeniu pojawia się również zapis zwracający uwagę projektantów technologicznych na to, że poza aspektem technicznym, niezbędne jest uwzględnienie przepisów prawa. Jego celem jest dostarczenie administratorom oraz podmiotom odpowiedzialnym za przetwarzanie danych niezbędnych informacji, które pozwolą im wywiązać się z obowiązku ochrony danych osobowych. 

RODO i „Privacy by Default”

Druga, odgrywająca istotną rolę zasada występująca w RODO to „Privacy by Default”. Zakłada ona ochronę prywatności, jako domyślne ustawienie powstającej technologii bądź oprogramowania. Zmiany w dostępie do danych mogą nastąpić jedynie na wyraźną zgodę użytkownika końcowego, np. poprzez ręczną zmianę ustawień systemowych aplikacji. Ochrona domyślna ma mieć jak najszerszy zakres, tzn. dotyczyć wyłącznie niezbędnych danych wymaganych do wykonania usługi oferowanej przez oprogramowanie. Zgodnie z treścią zasady, administrator danych osobowych jest zobligowanych do wdrożenia takich środków proceduralnych i technologicznych, aby przetwarzane dane były niezbędne do osiągnięcia konkretnego celu przetwarzania (m.in. wliczamy w to zakres przetwarzania, ilości danych, przechowywanie i dostępności do danych). Prawidłowe dostosowanie projektu do wymogów RODO i zasady „Privacy by Default”, będzie można wykazać w przyszłości poprzez dobrowolne podjęcie się procesu certyfikacji przez administratora danych (art.42). 

Ochrona prywatności w sieci a „Privacy Impact Assessment”

Coraz większe znaczenie, choć o mniejszym zasięgu medialnym, odgrywa również zasada „Privacy Impact Assessment”. Na czym ona polega? Przetwarzanie danych osobowych w rozwiązaniach technologicznych (aplikacje, oprogramowanie) może posiadać znamiona ryzyka wykorzystania danych ponad podstawowe potrzeby. Skutkowałoby to naruszeniem praw użytkowników końcowych. W takiej sytuacji administrator danych osobowych jest zobligowany do przeprowadzenia i opracowania oceny skutków operacji. „Privacy Impact Assessment” ma na celu oszacowanie ryzyka i bezpieczeństwa w projekcie dotyczących przechowywania i przetwarzania danych osobowych. Treść zasady wprowadzonej przez RODO potwierdza już istniejące, krajowe zapisy o obowiązku ochrony praw i wolności osób fizycznych (m.in. w Konstytucji RP – art. 47). 

RODO i ochrona prywatności – podsumowanie

Wprowadzenie w życie zasad „Privacy by Design” oraz „Privacy by Default” zostało pozytywnie odebrane przez użytkowników, którzy pomimo początkowych niedogodności (potwierdzanie formularzy oraz licznych maili) mają obecnie większą kontrolę nad własnymi danymi. Krajowe regulacje prawne dostosowujące wprowadzane zasady, nie wpływają na ich znaczenie. Tym samym  zwiększając bezpieczeństwo użytkowników poprzez ochronę prywatności na każdym etapie powstawania technologii. Administratorzy danych, nie tylko będą chronić nasze dane i prywatność oraz ich przetwarzanie w całym cyklu technologicznym, ale również są zobligowani do oceny skutków takiego przetwarzania i informowania odpowiednich urzędów. Z tej perspektywy nacisk na ochronę prywatności w świecie digital znacząco wzrósł.

Powiązane artykuły